kritick á infrastruktura st átu a ict technologie
DESCRIPTION
Kritick á infrastruktura st átu a ICT technologie. Jan Müller ICZ a.s. ISSS 2004, Hradec Králové. Plán prezentace. Současná situace Co je to kritick á infrastruktura Pro č ICT technologie Změny v pohledu na KI Situace v ČR Možné postupy – příklady ze zahraničí Příklady řešení (SCADA). - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/1.jpg)
Kritická infrastruktura státu a ICT technologie
Jan MüllerICZ a.s.
ISSS 2004, Hradec Králové
![Page 2: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/2.jpg)
2
Plán prezentace
Současná situaceCo je to kritická infrastrukturaProč ICT technologieZměny v pohledu na KI Situace v ČRMožné postupy – příklady ze zahraničíPříklady řešení (SCADA)
![Page 3: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/3.jpg)
3
Tradiční přístup: Civilní Ochrana a Krizové řízení
Katastrofy nebo napadení zvenku: ochrana fyzické infrastrukturyZávažná ohrožení životních funkcíIgnoruje IT infrastrukturu
Roztříštěné řízení po vertikále, nedostatečná analýza vazeb, chybí společná datová základna a infrastrukturaNedostatečná horizontální koordinaceNedostatečná spolupráce s privátním sektorem
![Page 4: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/4.jpg)
4
Ochrana KI – celková situace
Bouřlivý rozvoj CIP (Critical Infrastructure Protection) od poloviny 90 let, zejména pak po 11.9.2001Každá země má ale jiný přístup, od chápání principů CIP, přes terminologii, definici KI, řízení CIP, metodologii, chápání role ICT technologií a ochranu informační infrastruktury (CIIP), atd.Pomalu dochází ke koncensu, že izolovaný pohled nestačí – hlavní problémy leží v komplexnosti a provázanosti společnosti
![Page 5: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/5.jpg)
5
One of the most important lessons we can all learn about Critical Information Infrastructure Protection can be summarised in one word – interdependency.
Stephen CummingsDirector NISCC
![Page 6: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/6.jpg)
6
Proč ICT technologie
Dosud byly v problematice KI zanedbáványPředstavují nové paradigma, které
Poskytuje nové možnosti a služby, ale zároveň otevírá nové zranitelnosti a hrozby mnohonásobně zvyšuje vzájemnou provázanost dalších sektorů KI, která představuje rozhodující aspekt CIP
Ochrana Informační KI (CIIP – Critical Information Infrastructure Protection) je chápána jako část ochrany KI (CIP)
![Page 7: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/7.jpg)
7
Proč ICT technologie
Umožňují rozsáhlé zásahy v reálném světě a jejich zneužití (energetické soustavy, přehrady, distribuční sítě, chemické provozy apod.)
např. v Austrálii hacker Vitek Boden vypustil milion litrů odpadu do řeky
Jsou komplexně propojeny s dalšími komunikačními systémy, kde umožňují těžko předvídatelné zásahy
Např. v lednu 2003 Slammer vyřadil bankomaty Bank of America, byly zrušeny některé lety, v Seattlu byl vyřazen krizový systém 911
![Page 8: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/8.jpg)
8
Co je to kritická infrastruktura
Produkt nebo služba, jehož poškození má celostátní negativní dopadyTypicky např:energie, komunikace, služby (finance, zdravotnictví,potraviny), transport, bezpečnost (i jaderná, záchranné služby), veřejná správa (i infrastruktura a informační zdroje)
![Page 9: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/9.jpg)
9
Co je to kritická infrastruktura
Pohledy na KI se liší i díky geografickým odlišnostem (Holandsko – záplavy, Kanada – meteorologická služba) a dalším specifikům (USA – národní monumenty, přehrady, pojišťovnictví, Itálie – civilní obrana, Švédsko – řízení letového provozu) Už ne jen ohrožení životů a státu, ale jde o zachování běžného provozu společnosti (…aby mohli kanadští občané pokračovat v běžném denním životě …)
![Page 10: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/10.jpg)
10
Rozdíly v pohledu na CIP
Vnímání a základní koncepce, definice kritičnosti Organizační členění, vazba mezi koncepční a exekutivní odpovědností Metodický pohled, role ICT a specificky Inernetu, role provázanostiMíra spolupráce s dalšími subjekty – veřejná správa, privátní sektor, další státy a zahraniční subjekty
![Page 11: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/11.jpg)
11
Rozdíly v pohledu na CIP/CIIP – základní koncepce
Vnímání problematiky a hlavní iniciativa:Problém národní obrany – iniciativa MO (Francie, Švédsko, Nový Zéland)Problém hi-tech kriminality - iniciativa vnitra a policie (Itálie - legislativa, Poštovní a komunikační policie!) Problém ohrožení rozvoje informační společnosti - iniciativa civilních orgánů, veřejné správy a regulačních autorit (Finsko)Problém ohrožení podnikatelských aktivit – iniciativa skupin PPP (Švýcarsko, Anglie)Problém boje proti terorismu (Nový Zéland, USA)
![Page 12: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/12.jpg)
12
Rozdíly v pohledu na CIP – organizační řešení
Většinou roztříštěné řízení po různých organizacích. Několik centrálních systémů, zařazených podle vnímání (obrana, vnitro), ale např. v Rakousku je CIIP v obranné doktríně, ale není centrálně řízenaNyní snaha po jednotném řízení a spojení koncepční a exekutivní odpovědnosti (doporučení iniciativy CRN) – např. DHS plánování i řízení
![Page 13: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/13.jpg)
13
Rozdíly v pohledu na CIP – organizační řešení
Příklady centrálních organizací:ministerstvo v USA (DHS) a nyní i v Kanadě (dříve samostatný úřad OCIPEP - Obrana),Centrální úřad s výkonnou pravomocí v gesci ministerstva, např. Německo:BSI (Vnitro), Švédsko: SEMA (Obrana), UK:NISCC (Home Office)Centrální úřad v gesci ministerstva s koordinační pravomocí – Holandsko: NCC (Vnitro)
![Page 14: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/14.jpg)
14
ICT a Cyberspace
Dříve nepovažován za součást KINyní několik kritických oblastí
Výkon veřejné správy (ISVS)Ekonomika a běžné procesy
Interní informační systémy organizacíVeřejné sítě (Internet) – výměna informací, obchodní transakce (e-tržiště)
Řídící systémy v dalších kritických sektorech (energetika, transport aj.)Vlastní výkon krizového řízení
Holandsko: Internet je součástí KI (program KWINT)
![Page 15: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/15.jpg)
15
Další pilíře ochrany KI
Řešení vzájemné provázanosti oblastíZávislost kritických sektorůHorizontální komunikace
Spolupráce s dalšími subjekty, zejména PPP (Public-Private Partnership) Sdílení informacíSystémy včasného varování (Early warning), permanentní analytická centra
![Page 16: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/16.jpg)
16
Řešení vzájemné provázanosti
Tradičně – rozklad na organizační jednotky, každá vlastní krizový plánKritický charakter závislostí mezi sektory KI
Holandsko: program QuickScan – zmapování závislostí a kaskádových efektů
Zajištění koordinace v různých vrstváchUSA: v DHS je Office of State and Local Government Coordination
Cvičení Livewire (DHS – simulace útoků na KI): problémy s provázaností, komunikace
![Page 17: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/17.jpg)
17
Spolupráce s dalšími subjekty
Obecně - 85% KI v privátních rukouPotřeba koordinace při
Plánování krizového řízení – např. Office of Private Sector Liaison v USAMapování provázaností a vzájemných závislostí – projekt QuickScan v HolandskuŘešení krizových situací - National Cyberspace Response System, pojatý jako public-private partnership
Potřeba mezinárodní koordinace i v ICT a Internetu (cyberspace)
![Page 18: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/18.jpg)
18
Sdílení informací a včasné varování
Např. v USA v rámci PPP v jednotlivých kritických sektorech vznikly centra ISAC (Information Sharing and Analysis Center)CERT – Computer Emergency Response Team. Vznikají na mnoha úrovních, od firem a vysokých škol až po státní úroveň a nadnárodní organizace (NATO, EU)
![Page 19: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/19.jpg)
19
Situace v ČR
Klasická CO, spíše krizové řízení než CIP (podobně jako v Rakousku), narušená po 1990 Roztříštěné řízení, nedostatečná analýza vazeb, chybí společná datová základna a infrastrukturaNedostatečná spolupráce s privátním sektorem Krizový zákon 240/2000 Sb. sice pokrývá i „narušení komunikačních soustav“, ale v oblasti „cyberspace“ zatím malý pokrok
![Page 20: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/20.jpg)
20
Příklad postupu - Holandsko
Národní Koordinační Centrum na MVPlán CIP: 4 kroky, do dubna 2004
QuickScan – zmapování kritických služeb a produktůInventura existujících opatření, samostatné rizikové analýzyDiskuze, analýzy, plánováníImplementace, globální IS o zranitelnostech a vazbách
![Page 21: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/21.jpg)
21
Holandsko – etapa QuickScan
Ukončena v prosinci 2002Koordinováno NCC, řízeno TNO, rozsáhlá spolupráce s privátním sektorem (130 organizací), dotazníky, semináře výsledky: přehled kritických oblastí, odpovědností, ale zejména provázanost (kaskádové šíření efektu)
![Page 22: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/22.jpg)
22
Příklad spolupráce s privátním sektorem - DCS
USA: Vrcholový dokument „National Strategy to secure Cyberspace“ požaduje ochranu všech národních IT aktiv-> program National Cyberspace Security Vulnerability Reduction-> v rámci něho řešení bezpečného řízení průmyslových procesů
![Page 23: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/23.jpg)
23
Příklad spolupráce – DCS a SCADA
Program CyberSecurity of Industrial Control SystemsFinancovaný a řízený jako grant na NIST ($433K pro 2003) pod NIST/NSA programem National Information Assurance Partnership vytvořeno fórum PCSFR z různých průmyslových asociací (včetně IEEE)
![Page 24: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/24.jpg)
24
Příklad spolupráce – DCS a SCADA
Cíle:přehled systémů, zranitelností a hrozebGlobální seznam požadavků na bezpečnost, PP podle ISO 15408Národní testovací polygon (testbed)
Dosažené výsledky:testovací polygon včetně SCADANávrhy profilů a šifrovacích standardů
![Page 25: Kritick á infrastruktura st átu a ICT technologie](https://reader036.vdocuments.net/reader036/viewer/2022062314/568140d1550346895dac9fc9/html5/thumbnails/25.jpg)
25
Děkuji za pozornost